駭侵組織 TA505 發動新型態惡意軟體攻擊:ServHelper 與 FlawedGrace
- 發布單位:TWCERT/CC
- 更新日期:2020-05-26
- 點閱次數:494
資安廠商 Proofpoint 發表新聞稿,指出他們偵測到由駭侵組織 TA505 發動的新型態攻擊事件,使用新型態惡意軟體 ServHelper 和 FlawedGrace。
Proofpoint 指出,ServHelper 和 FlawedGrace 分別為全新的惡意軟體。前者有兩種變體,分別用在去年11月的兩波 Email 攻擊事件中;以其中一波為例,ServHelper 在感染後會在宿主電腦建立反向 SSH 連結通道,讓駭侵者能夠透過 RDP 遠端控制受害電腦。
Proofpoint 的觀察也發現,在某些 ServHelper 的惡意軟體下載攻擊中,也出現下載另一支惡意軟體 FlawedGrace 的指令碼;根據分析,FlawedGrace 屬於遠端存取木馬,會以複雜的加密過程儲存其設定檔。
Proofpoint 指出,TA505 最近主要的攻擊目標鎖定在金融機構。
參考連結:
https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505
https://www.bleepingcomputer.com/news/security/ta505-group-adopts-new-servhelper-backdoor-and-flawedgrace-rat/